我开发了一个网站(在asp.net中),它有一个注册页面(没有注册,但它接收人的详细信息),这实际上是一个教育机构的网站,注册表是为那些想要注册组织研讨会的人而设计的。这是一个SQL注入攻击
现在来点,我被检查数据库的登记表(数据库是在MS Access),并发现有类似的数据多行:
//In Residential Address field
[url=http://paydayloansonline25.com]payday loans online[/url] pay loans direct student loans [url=http://paydayloansonline25.com]get loan online payday[/url] cash fast without bank account http://paydayloansonline25.com small business loans fast cash
//In Field to store workshop id, for which the person want to register for, the data was
document.getElementById(varIDCtrlName).value;
我相信这是一个可能的SQL注入攻击,但不确定,黑客会试图做什么,如果他成功了 - 那么他会收集什么。请再提一提,我该如何处理它。
欲了解更多信息:
我还没有加入参数,如
EnableEventValidation="false" ValidateRequest="false"
在aspx页面的页面指令,以我的猜测是true
默认情况下,虽然它是true
,帮助这种类型的可能的攻击。 还有一件事值得一提的是,我的OleDbCommand
的参数是这样写
cmd.Parameters.AddWithValue("@ResiAddress", strResiAddress);
SQL注入是当用户在(表单)字段中添加SQL代码以获取/操作数据库中不打算接收/编辑的其他数据时。 这似乎是一个'简单'的垃圾邮件条目,但是您应该确保在显示此项目时不要解析并执行javascript。 –